// docs / quotas & limits
配额和限制
下面每个配额和速率限制值都在构建时来自权益模块,因此这个页面不会偏离服务器实际执行的规则。
各套餐权益
| 免费 | 兴趣 | 专业 | 无限 | |
|---|---|---|---|---|
| 扫描 / 月 | 3 | 50 | 200 | Unlimited 计划¹ |
| 项目(已验证域名) | 1 | 1 | 5 | 20 |
| API tokens | 0 | 1 | 5 | 20 |
| Owner-depth scans | 否 | 是 | 是 | 是 |
| GitHub 仓库扫描 | 否 | 否 | 是 | 是 |
| 计划重新扫描 | 否 | 否 | ≥3h 频率 | ≥1h 频率 |
| 实时威胁检测 | 否 | 否 | 否 | 是 |
| 保留时间 | 7 天 | 30 天 | 90 天 | 365 天 |
| 团队席位 | 1 | 1 | 1 | 5 |
| 支持 | 标准 | 标准 | 优先 | 专属 |
¹ Unlimited 计划的扫描配额遵循合理使用 — 详见 条款。² 默认上限为 20 个 ≥1h 频率的主动监控域名。如需用更长的计划频率换取更高上限,请联系 support@fixweb.app。
API 速率限制
每个 /api/v1/* 和 /api/mcp 请求都会按 bearer token 的 hash 计数,并经过两个窗口:
- Burst: 每秒 10 个请求。
- Steady: 每分钟 60 个请求。
发生 429 时,响应包含:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}触发的窗口会在消息中命名(burst (10/s) vs steady (60/min)),所以客户端退避可以自适应。
Free 计划扫描速率限制(按 IP/24)
除组织级别每月 3 次扫描的上限之外,Free 计划用户还面临按 IP/24 的额外速率限制:每小时 3 次扫描,每天 100 次。同一个限速器也覆盖匿名即时扫描,可防止通过一次性账户耗尽 Free 配额。超出任一限制的请求会返回 HTTP 429 Too Many Requests 并附带 Retry-After 响应头。
注册限流(按 IP/24)
每个 IP/24 在 24 小时内允许 5 次成功注册,用以防止自动化创建 Free 计划账户。被限速的回调会重定向到 /sign-in?error=rate_limited。
保留
Scans + findings 会按上表自动清理。匿名一次性扫描会在创建 24h 后过期。Audit logs 保留 18 个月。Monitor snapshots 清理到最近 7 天,外加每个 (domain, signal) 的最新 baseline。已 dismissed alerts 会在 90 天后清理。所有保留规则每天由 /api/cron/retention-cleanup 执行。